全球首发!沸腾新闻多媒体管理系统漏洞!(阳江哥原创+发现!
【易我网安温馨提示:】亲,您还没登录哦!注册或登录后您可以查看更多精彩内容,享用丰富的功能,结交许多志同道合的朋友!!还等什么?马上注册加入吧!您需要 登录 才可以下载或查看,没有帐号?注册 http://bbs.yiwowang.com/static/image/common/qq_login.gif
x
本帖最后由 cngd 于 2013-1-24 13:12 编辑
OK!这个漏洞的发现时源于一个同学花2块(RMB只是买一杯奶茶最后不了了之)要我检测他们学校政治科组的网站发现的(他们可是重点高中用的都是独立服务器......)
为什么说全球首发,因为网上的都是V1.1 Access版 Finish(SP2)的注入漏洞,V1.1 Access版 Finish(SP4)的漏洞还没有,漏洞发现在2012年9月
版本是:
V1.1 Access版 Finish(SP4)
关键字:
V1.1 Access版 Finish(SP4)
下载源码查看一下他们的说明书:
他们使用的是别人的广告管理系统
'程序名称:忠网WEB广告管理系统(沸腾年代设计小组修改版) English Name:ZonGG
'当前版本:ZonGG Version 1.1.0.0 Powered By:ZonGG Version 1.1.0.0
用社工的思想来分析一下(社会工程学):一般来说管理员(管理员技术不咋地的情况,不过这个很容易忽略)只会注重这个网站的主体即沸腾系统,不会看到这个插件)
在网站的主体(沸腾系统没法找到漏洞)我们就看一下这个插件吧(忠网WEB广告管理系统)
发现有一个上传漏洞
漏洞页面:zongg/upload.asp
再看一下,既然说了这个插件管理员会忽略那么他的数据库一般不会改即默认数据库下载漏洞!
再用社工思想分析,一般人没这么折腾吧,不会管理网站一个账号密码,广告管理一个账号密码吧!
所以一般来说这个账号密码会和“主体”的密码一样!
页:
[1]